公开(公告)号：CN106327184B

公开(公告)日：2019-09-13

申请号：CN201610702269.3

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所

Inventor： 胡铭铭 ,  王瑜 ,  王雅哲 ,  梁超 ,  汪祖辉

IPC: G06Q20/32 ,  G06Q20/38 ,  H04L9/32 ,  G06F21/34

Abstract: 本发明涉及一种基于安全硬件隔离的移动智能终端支付系统及方法，包括：支付服务器、移动智能终端、安全硬件；安全硬件独立于移动智能终端，具有单独的系统即独立运行环境，保护用户的认证数据安全，并对外提供随机数生成，证书请求，信息签名服务；同时具有安全存储功能，能够保护预置的用户认证信息；在支付系统支付过程中，安全硬件需要用户输入支付密码进行验证，在验证通过后利用用户支付公钥证书私钥对支付数据签名加密后返回至移动智能终端。本发明将用户支付证书私钥和密码存储在安全硬件中，有效防止这些敏感数据被攻击者获取，并且支付信息将由用户在安全硬件进行确认，有效防止支付信息被恶意篡改，大大提高了支付系统的安全性。

公开(公告)号：CN106127054A

公开(公告)日：2016-11-16

申请号：CN201610700994.7

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所 ,  联想移动通信软件(武汉)有限公司

Inventor： 霍冬冬 ,  王雅哲 ,  王瑜 ,  梁超 ,  汪祖辉

IPC: G06F21/56 ,  G06F21/57 ,  G06F21/12 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明涉及一种面向智能设备控制指令的系统级安全防护方法，首先部署智能设备控制指令安全运行的软件系统环境，利用基于MPU的硬件隔离模块建立用于存放敏感数据结构与方法的安全区域和用于执行控制指令解析、动态加载模块等常规任务的非安全环境；其次在安全区域内部署处理控制指令的重要数据结构与方法，设计针对控制指令的处理框架；最后结合安全区域内的重要数据结构与方法设计安全处理控制指令的相关流程，确保控制指令在传输以及解析过程中的完整性和安全性。本发明为智能设备在系统层提供可靠的安全隔离环境，确保了系统内部的控制指令传输安全。

公开(公告)号：CN106127054B

公开(公告)日：2019-01-29

申请号：CN201610700994.7

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所

Inventor： 霍冬冬 ,  王雅哲 ,  王瑜 ,  梁超 ,  汪祖辉

IPC: G06F21/56 ,  G06F21/57 ,  G06F21/12 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明涉及一种面向智能设备控制指令的系统级安全防护方法，首先部署智能设备控制指令安全运行的软件系统环境，利用基于MPU的硬件隔离模块建立用于存放敏感数据结构与方法的安全区域和用于执行控制指令解析、动态加载模块等常规任务的非安全环境；其次在安全区域内部署处理控制指令的重要数据结构与方法，设计针对控制指令的处理框架；最后结合安全区域内的重要数据结构与方法设计安全处理控制指令的相关流程，确保控制指令在传输以及解析过程中的完整性和安全性。本发明为智能设备在系统层提供可靠的安全隔离环境，确保了系统内部的控制指令传输安全。

公开(公告)号：CN104283885B

公开(公告)日：2017-07-28

申请号：CN201410542730.4

申请日：2014-10-14

Applicant: 中国科学院信息工程研究所 ,  联想移动通信软件(武汉)有限公司

Inventor： 王雅哲 ,  梁超 ,  寇睿明 ,  汪祖辉 ,  王瑜

IPC: H04L29/06

Abstract: 本发明涉及一种基于智能终端本地认证的多SP安全绑定的实现方法，引入了“信任预置”思想，通过预置认证设备的公私钥证书，将认证设备和身份认证端绑定起来。通过用户向SP进行注册，产生标记认证设备的用户公私钥UAuth并将该UAuth与用户账户绑定。一个用户持有的安全认证设备可与该用户在同一SP中的多个账户或多个不同SP中的账户进行一对多的双向关联。通过本发明，用户可以通过唯一安全设备安全通过多个身份认证，并在很大程度上取代了传统的用户名密码身份验证方式。并且在保证用户身份认证操作便捷的情况下，大大的提高了认证过程中信息的安全性。

公开(公告)号：CN106327184A

公开(公告)日：2017-01-11

申请号：CN201610702269.3

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所 ,  联想移动通信软件(武汉)有限公司

Inventor： 胡铭铭 ,  王瑜 ,  王雅哲 ,  梁超 ,  汪祖辉

IPC: G06Q20/32 ,  G06Q20/38 ,  H04L9/32 ,  G06F21/34

Abstract: 本发明涉及一种基于安全硬件隔离的移动智能终端支付系统及方法，包括：支付服务器、移动智能终端、安全硬件；安全硬件独立于移动智能终端，具有单独的系统即独立运行环境，保护用户的认证数据安全，并对外提供随机数生成，证书请求，信息签名服务；同时具有安全存储功能，能够保护预置的用户认证信息；在支付系统支付过程中，安全硬件需要用户输入支付密码进行验证，在验证通过后利用用户支付公钥证书私钥对支付数据签名加密后返回至移动智能终端。本发明将用户支付证书私钥和密码存储在安全硬件中，有效防止这些敏感数据被攻击者获取，并且支付信息将由用户在安全硬件进行确认，有效防止支付信息被恶意篡改，大大提高了支付系统的安全性。

公开(公告)号：CN106230849B

公开(公告)日：2019-04-19

申请号：CN201610702268.9

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所

Inventor： 李宇 ,  王雅哲 ,  王瑜 ,  梁超 ,  汪祖辉

IPC: H04L29/06 ,  H04L29/08 ,  H04W4/00 ,  G06F21/12 ,  G06F21/56 ,  G06F21/57 ,  G06F21/60 ,  G06F21/62

Abstract: 一种基于用户行为的智能设备机器学习安全监测系统，其特征在于包括面向第三方智能设备用户行为数据的第一级机器学习模型和基于MPU内存保护机制的智能设备端的第二级用户行为机器学习模型；所述第一级机器学习模型，借助第三方云平台的用户行为数据，在两类数据即相同智能设备类型的数据和相同个体用户的行为数据的基础上，对两类数据进行数据清洗，确定智能设备需要使用的数据以及关联关系，然后根据智能设备的类型，确定智能设备用户行为的主题；基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型，智能设备端首先利用MPU的内存保护机制，对上述的第一级机器学习模型中得到的安全监测模型进行安全保护区域划分，最后使所述监测系统能够有效的保护智能设备和用户的安全。

公开(公告)号：CN104283886B

公开(公告)日：2017-12-29

申请号：CN201410542741.2

申请日：2014-10-14

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  梁超 ,  汪洋 ,  汪祖辉 ,  王瑜

IPC: H04L29/06

Abstract: 一种基于智能终端本地认证的web安全访问的实现方法，用户在使用该系统进行认证登录时，在保证用户使用便捷的前提下，为用户提供基于公私钥挑战响应式认证方法。首先，将用户的本地身份和RP上身份绑定；其次，用户在认证登录RP的时候，不需提交在RP上的身份证明，只需在智能终端完成本地用户身份验证；最后，本地用户身份验证通过后，利用智能终端生成的签名提交到RP认证服务器进行验证登录。本发明这种基于智能终端本地认证的WEB安全访问方法，简化增强认证时用户手动过程，提高了系统的安全性及用户体验性。

公开(公告)号：CN106230849A

公开(公告)日：2016-12-14

申请号：CN201610702268.9

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所 ,  联想移动通信软件(武汉)有限公司

Inventor： 李宇 ,  王雅哲 ,  王瑜 ,  梁超 ,  汪祖辉

IPC: H04L29/06 ,  H04L29/08 ,  H04W4/00 ,  G06F21/12 ,  G06F21/56 ,  G06F21/57 ,  G06F21/60 ,  G06F21/62

Abstract: 一种基于用户行为的智能设备机器学习安全监测系统，其特征在于包括面向第三方智能设备用户行为数据的第一级机器学习模型和基于MPU内存保护机制的智能设备端的第二级用户行为机器学习模型；所述第一级机器学习模型，借助第三方云平台的用户行为数据，在两类数据即相同智能设备类型的数据和相同个体用户的行为数据的基础上，对两类数据进行数据清洗，确定智能设备需要使用的数据以及关联关系，然后根据智能设备的类型，确定智能设备用户行为的主题；基于MPU内存保护机制的智能设备端第二级用户行为机器学习模型，智能设备端首先利用MPU的内存保护机制，对上述的第一级机器学习模型中得到的安全监测模型进行安全保护区域划分，最后使所述监测系统能够有效的保护智能设备和用户的安全。

公开(公告)号：CN104283886A

公开(公告)日：2015-01-14

申请号：CN201410542741.2

申请日：2014-10-14

Applicant: 中国科学院信息工程研究所 ,  联想移动通信软件(武汉)有限公司

Inventor： 王雅哲 ,  梁超 ,  汪洋 ,  汪祖辉 ,  王瑜

IPC: H04L29/06

CPC classification number: H04L63/0442 ,  H04L63/08 ,  H04L67/02

Abstract: 一种基于智能终端本地认证的web安全访问的实现方法，用户在使用该系统进行认证登录时，在保证用户使用便捷的前提下，为用户提供基于公私钥挑战响应式认证方法。首先，将用户的本地身份和RP上身份绑定；其次，用户在认证登录RP的时候，不需提交在RP上的身份证明，只需在智能终端完成本地用户身份验证；最后，本地用户身份验证通过后，利用智能终端生成的签名提交到RP认证服务器进行验证登录。本发明这种基于智能终端本地认证的WEB安全访问方法，简化增强认证时用户手动过程，提高了系统的安全性及用户体验性。

公开(公告)号：CN104283885A

公开(公告)日：2015-01-14

申请号：CN201410542730.4

申请日：2014-10-14

Applicant: 中国科学院信息工程研究所 ,  联想移动通信软件(武汉)有限公司

Inventor： 王雅哲 ,  梁超 ,  寇睿明 ,  汪祖辉 ,  王瑜

IPC: H04L29/06

CPC classification number: H04L63/0442 ,  H04L63/08

Abstract: 本发明涉及一种基于智能终端本地认证的多SP安全绑定的实现方法，引入了“信任预置”思想，通过预置认证设备的公私钥证书，将认证设备和身份认证端绑定起来。通过用户向SP进行注册，产生标记认证设备的用户公私钥UAuth并将该UAuth与用户账户绑定。一个用户持有的安全认证设备可与该用户在同一SP中的多个账户或多个不同SP中的账户进行一对多的双向关联。通过本发明，用户可以通过唯一安全设备安全通过多个身份认证，并在很大程度上取代了传统的用户名密码身份验证方式。并且在保证用户身份认证操作便捷的情况下，大大的提高了认证过程中信息的安全性。